{"id":15103,"date":"2020-06-16T13:53:20","date_gmt":"2020-06-16T13:53:20","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15103"},"modified":"2020-06-16T13:53:20","modified_gmt":"2020-06-16T13:53:20","slug":"kaspersky-threat-attribution-engine","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-threat-attribution-engine\/15103\/","title":{"rendered":"Quel groupe de pirates informatiques s’en prend au r\u00e9seau de votre entreprise ? Ne jouez pas aux devinettes, v\u00e9rifiez !"},"content":{"rendered":"

Il y a environ quatre ans, la cybers\u00e9curit\u00e9 devenait un pion de l\u2019\u00e9chiquier de la g\u00e9opolitique. Alors que les politiques de tous les partis et de toutes les nationalit\u00e9s se montraient du doigt et se rejetaient la faute d\u2019op\u00e9rations hostiles de cyber-espionnage, en parall\u00e8le, et apparemment sans la moindre ironie, ils augmentaient la r\u00e9serve d\u2019armes<\/span> outils offensifs informatiques de leur pays. Les entreprises ind\u00e9pendantes de cybers\u00e9curit\u00e9<\/a>, prises entre deux feux<\/a> \u00e0 cause de ces manigances g\u00e9opolitiques<\/a>, ont toutefois les capacit\u00e9s et le courage de r\u00e9v\u00e9ler ces absurdit\u00e9s tr\u00e8s dangereuses.<\/p>\n

Pourquoi\u00a0? C\u2019est tr\u00e8s simple.<\/p>\n

Tout d\u2019abord, \u00ab\u00a0cyber\u00a0\u00bb a \u00e9t\u00e9 et est depuis le d\u00e9but un terme cool, romantique, glamour et li\u00e9 \u00e0 la science-fiction. Il est assez vendeur, non seulement pour les produits mais aussi pour la presse. Il est populaire, m\u00eame aupr\u00e8s des politiques. C\u2019est aussi une distraction utile, gr\u00e2ce \u00e0 son c\u00f4t\u00e9 cool et tendance, lorsqu\u2019il faut d\u00e9tourner l\u2019attention, et c\u2019est souvent le cas.<\/p>\n

Ensuite, \u00ab\u00a0cyber\u00a0\u00bb est vraiment un terme geek. La plupart des gens ne comprennent pas en quoi il consiste. Par cons\u00e9quent, les m\u00e9dias, lorsqu\u2019ils doivent couvrir une actualit\u00e9 ayant un lien avec ce sujet, ou lorsqu\u2019ils cherchent \u00e0 obtenir plus de visites sur leur site, peuvent \u00e9crire tout et n\u2019importe quoi, et la plupart des choses qu\u2019ils racontent ne sont pas vraiment exactes (ou sont compl\u00e8tement fausses). Peu de lecteurs s\u2019en rendent compte. Vous avez donc de nombreux articles dans la presse qui disent que le groupe de pirates informatiques de tel ou tel pays est responsable d\u2019une certaine cyberattaque embarrassante, co\u00fbteuse, pr\u00e9judiciable ou encore scandaleuse. Y-a-t-il quelque chose de vrai dans tout cela ?<\/p>\n

Nous nous en tenons aux attributions techniques. C\u2019est notre devoir et c\u2019est ce que nous faisons en tant qu\u2019entreprise.<\/p>\n<\/blockquote>\n

En g\u00e9n\u00e9ral, il est difficile de discerner le vrai du faux. Cela \u00e9tant dit, est-il vraiment possible d\u2019attribuer avec pr\u00e9cision une cyberattaque \u00e0 un groupe\u00a0?<\/p>\n

La r\u00e9ponse se divise en deux parties\u00a0:<\/p>\n

D\u2019un point de vue technique, les cyberattaques poss\u00e8dent un ensemble de caract\u00e9ristiques sp\u00e9cifiques, mais le syst\u00e8me d\u2019analyse impartial ne peut que d\u00e9terminer \u00e0 quel point une attaque ressemble au travail de tel ou tel groupe de pirates informatiques<\/em>.<\/p>\n

Pourtant, la probabilit\u00e9 que le groupe en question appartienne aux renseignements militaires de la sous-unit\u00e9 233, au groupe pour les projets de recherche avanc\u00e9e de d\u00e9fense ou \u00e0 l\u2019unit\u00e9 op\u00e9rationnelle des capacit\u00e9s strat\u00e9giques conjointes et de la r\u00e9duction des menaces (toutes ces institutions sont factices, inutiles de faire une recherche sur Google)\u2026 est un probl\u00e8me politique. Dans ce cas, l\u2019\u00e9ventualit\u00e9 d\u2019une manipulation factuelle s\u2019approche des 100 %. L\u2019attribution peut \u00eatre technique, \u00e9tablie \u00e0 partir de preuves et exacte, ou bien\u2026 relever de la voyance. C\u2019est pourquoi nous laissons les m\u00e9dias s\u2019en occuper. Nous restons bien l\u2019\u00e9cart.<\/p>\n

En attendant, le pourcentage d\u2019insectes politiques qui se passent de la pommade \u00e0 base de faits de cybers\u00e9curit\u00e9 pure se multiplie lorsque la date de certains \u00e9v\u00e9nements politiques cl\u00e9s approche. Oh, exactement comme celui pr\u00e9vu dans cinq mois\u00a0!<\/p>\n

Le combat est beaucoup plus facile si nous connaissons l\u2019identit\u00e9 du cybercriminel : la r\u00e9ponse aux incidents peut \u00eatre d\u00e9ploy\u00e9e sans encombre et avec un risque minimum pour l\u2019entreprise.<\/p>\n<\/blockquote>\n

Donc oui, nous \u00e9vitons \u00e0 tout prix l\u2019attribution politique. Nous nous en tenons \u00e0 la partie technique. En r\u00e9alit\u00e9, c\u2019est notre devoir et c\u2019est ce que nous faisons en tant qu\u2019entreprise. Nous le faisons mieux que n\u2019importe qui, en toute modestie. Nous suivons de pr\u00e8s<\/a> tous les grands groupes de pirates informatiques et leurs op\u00e9rations (plus de 600 d\u2019entre elles) et ne faisons pas attention \u00e0 leur \u00e9ventuelle orientation politique. Un voleur reste un voleur et sa place est en prison. Maintenant, plus de 30 ans apr\u00e8s \u00eatre entr\u00e9 en jeu et avoir collect\u00e9 en continu de nombreuses donn\u00e9es sur les actes num\u00e9riques r\u00e9pr\u00e9hensibles, nous sommes enfin pr\u00eats \u00e0 partager tout ce que nous avons obtenu, de fa\u00e7on convenable.<\/p>\n

L\u2019autre jour, nous avons lanc\u00e9 un nouveau service exceptionnel pour les experts en cybers\u00e9curit\u00e9. Il s\u2019agit de Kaspersky Threat Attribution Engine<\/a>. Ce produit analyse les fichiers suspects et d\u00e9termine quel groupe de pirates informatiques pourrait \u00eatre \u00e0 l\u2019origine de la cyberattaque. Le combat est beaucoup plus facile si nous connaissons l\u2019identit\u00e9 du cybercriminel puisque cela nous permet de prendre des contre-mesures inform\u00e9es. \u00a0Des d\u00e9cisions peuvent \u00eatre prises, un plan d\u2019action peut \u00eatre \u00e9labor\u00e9, les priorit\u00e9s peuvent \u00eatre \u00e9tablies et, de fa\u00e7on g\u00e9n\u00e9rale, la r\u00e9ponse aux incidents peut \u00eatre d\u00e9ploy\u00e9e sans encombre et avec un risque minimum pour l\u2019entreprise.<\/p>\n

\"Interface

Interface de Kaspersky Threat Attribution Engine<\/p><\/div>\n

Comment est-ce possible ?<\/p>\n

Comme je l\u2019ai d\u00e9j\u00e0 dit, les cyberattaques pr\u00e9sentent de nombreuses caract\u00e9ristiques purement techniques, autrement dit des \u00a0\u00bb\u00a0signaux\u00a0\u00a0\u00bb : heure et date de cr\u00e9ation des fichiers, adresses IP, m\u00e9tadonn\u00e9es, exploits<\/a>, fragments de code, mots de passe, langue, normes relatives au nom des fichiers, d\u00e9bogage, outils d\u2019offuscation et de chiffrement, etc. Analys\u00e9es de fa\u00e7on individuelle, ces caract\u00e9ristiques ne sont utiles<\/a> que pour les (a) politiques, qui accusent leurs adversaires sur la sc\u00e8ne internationale ou renforcent des intentions cach\u00e9es, ou les (b) mauvais journalistes qui cherchent \u00e0 avoir un scoop international. Ce n\u2019est que toutes ensembles que nous pouvons savoir \u00e0 quel groupe de pirates informatiques elles appartiennent.<\/p>\n

De plus, la contrefa\u00e7on ou l\u2019imitation d\u2019un signal n\u2019a rien de compliqu\u00e9.<\/p>\n

Par exemple, les cybercriminels du groupe Lazarus<\/a> semblent avoir \u00e9crit certains mots russes en caract\u00e8res latins dans leur code binaire implant\u00e9. Pourtant, la construction de cette phrase ne semblerait pas naturelle en russe, et les erreurs de syntaxe et de grammaire feraient croire que cette phrase est le r\u00e9sultat de Google Translate. Ces caract\u00e9ristiques pourraient mener les experts en s\u00e9curit\u00e9 dans la mauvaise direction\u00a0:<\/p>\n

\"Faux

Faux signaux dans le code de Lazarus.<\/p><\/div>\n

L\u00e0 encore, n\u2019importe quel groupe de pirates informatiques peut utiliser Google Translate, m\u00eame dans sa langue maternelle pour que le \u00a0\u00bb\u00a0langage utilis\u00e9\u00a0\u00a0\u00bb soit difficilement consid\u00e9r\u00e9 comme un indicateur fiable.<\/p>\n

Voici un autre cas qui illustre ces propos d\u2019une fa\u00e7on l\u00e9g\u00e8rement diff\u00e9rente\u00a0: le groupe Hades<\/a> (auteur du tristement c\u00e9l\u00e8bre ver OlympicDestroyer<\/em> qui a attaqu\u00e9 l\u2019infrastructure des Jeux olympiques d\u2019hiver de 2018, en Cor\u00e9e du Sud) a utilis\u00e9 certains signaux, comme l\u2019a fait le groupe Lazarus, et a men\u00e9 de nombreux chercheurs en bateau puisqu\u2019ils croyaient que les cybercriminels de Hades \u00e9taient en r\u00e9alit\u00e9 ceux de Lazarus. Les autres diff\u00e9rences de \u00a0\u00bb\u00a0style\u00a0\u00a0\u00bb entre les deux groupes ont permis \u00e0 la plupart des experts de conclure qu\u2019il ne s\u2019agissait pas de Lazarus.<\/p>\n

N\u00e9anmoins, la r\u00e9alisation manuelle d\u2019une analyse experte de centaines de caract\u00e9ristiques, puis leur comparaison avec le style des signatures de chaque groupe de pirates informatiques\u2026 est pratiquement impossible si les d\u00e9lais sont courts, si les ressources sont limit\u00e9es et si l\u2019on veut obtenir des r\u00e9sultats d\u2019une qualit\u00e9 acceptable. Ces r\u00e9sultats sont si n\u00e9cessaires\u2026 Les entreprises veulent rapidement attraper la cyber\u2026 pieuvre qui s\u2019en prend \u00e0 elles, couper chaque tentacule pour qu\u2019elle ne puisse plus jamais se faufiler l\u00e0 o\u00f9 elle ne devrait pas et pouvoir dire<\/a> \u00e0 tout le monde comment se prot\u00e9ger de ce dangereux cyber-mollusque.<\/p>\n

Les \u00ab\u00a0g\u00e9notypes\u00a0\u00bb de malwares permettent de trouver des similarit\u00e9s entre le code du malware et les auteurs connus d\u2019APT avec une pr\u00e9cision de presque 100 %.<\/p>\n<\/blockquote>\n

Est-ce ce dont les entreprises avaient si besoin\u00a0? Eh bien, il s\u2019av\u00e8re que c\u2019est exactement ce que nous leur proposons\u2026<\/p>\n

Il y a quelques ann\u00e9es, nous avons d\u00e9velopp\u00e9 un syst\u00e8me d\u2019analyse automatis\u00e9e des fichiers pour l\u2019utiliser en interne. Il fonctionne de la fa\u00e7on suivante\u00a0: nous extrayons du fichier suspect des informations que nous appelons g\u00e9notypes<\/em> (des petits fragments de code s\u00e9lectionn\u00e9s \u00e0 partir de notre propre algorithme) et nous les comparons avec plus de 60 000 objets d\u2019attaques cibl\u00e9es et une multitude de caract\u00e9ristiques qui figurent dans notre base de donn\u00e9es. Cela nous permet de d\u00e9terminer quelle est la situation la plus probable quant \u00e0 l\u2019origine de la cyberattaque, et de fournir une description des groupes de pirates informatiques probablement responsables, ainsi que de leurs liens, aux ressources payantes<\/a> et gratuites pour obtenir des renseignements plus d\u00e9taill\u00e9s et mettre en place une strat\u00e9gie pour r\u00e9pondre \u00e0 l\u2019incident.<\/p>\n

Vous vous demandez peut-\u00eatre quelle est la fiabilit\u00e9 de cette recherche\u00a0?! Disons tout simplement qu\u2019en trois ans ce syst\u00e8me n\u2019a pas commis une seule erreur et a toujours orient\u00e9 l\u2019enqu\u00eate en cours dans la bonne direction\u00a0!<\/p>\n

Voici certaines des enqu\u00eates les plus connues ayant utilis\u00e9 ce syst\u00e8me\u00a0: l\u2019implant LightSpy sous iOS<\/a>, TajMahal<\/a>, Shadowhammer<\/a>, ShadowPad<\/a> et Dtrack<\/a>. Dans tous ces cas, le r\u00e9sultat \u00e9tait identique \u00e0 l\u2019\u00e9valuation de nos experts. Nos clients peuvent d\u00e9sormais l\u2019utiliser\u00a0!<\/p>\n

\u00a0<\/p>\n

\"Kaspersky

Kaspersky Threat Attribution Engine<\/p><\/div>\n

Le produit Kaspersky Threat Attribution Engine\u00a0se pr\u00e9sente sous la forme d\u2019un kit de distribution bas\u00e9 sur Linux \u00e0 installer sur l\u2019ordinateur en air-gap du client (pour une confidentialit\u00e9 maximale). Les mises \u00e0 jour se font via une cl\u00e9 USB. N\u2019importe quel \u00e9chantillon de malware d\u00e9tect\u00e9 par les analystes internes du client peuvent \u00eatre ajout\u00e9s \u00e0 la base de donn\u00e9es de la solution, qui utilise \u00e9galement une interface de programmation (API) pour connecter le produit aux autres syst\u00e8mes, y compris s\u2019il s\u2019agit d\u2019un SOC (centre de gestion de la s\u00e9curit\u00e9) de tiers.<\/p>\n

Pour conclure, j\u2019ajoute une clause de non-responsabilit\u00e9\u00a0: aucun outil d\u2019analyse automatis\u00e9e de cyber-activit\u00e9s malveillantes n\u2019offre une garantie de 100 % en termes d\u2019attribution d\u2019attaque. Tout peut \u00eatre une imitation et un pi\u00e8ge, m\u00eame les solutions les plus avanc\u00e9es. Notre objectif principal est d\u2019orienter les experts dans la bonne direction et de tester les sc\u00e9narios probables. En outre, malgr\u00e9 les d\u00e9clarations omnipr\u00e9sentes et retentissantes sur l\u2019efficacit\u00e9 de l\u2019IA<\/a> (qui n\u2019existe pas vraiment<\/a> pour le moment), les syst\u00e8mes d\u2019 \u00ab\u00a0IA\u00a0\u00bb existants, m\u00eame les plus intelligents, sont actuellement incapables de tout faire sans l\u2019aide de l\u2019homo sapiens. C\u2019est une synergie entre les machines, les donn\u00e9es et les experts (que nous appelons Humachine<\/em><\/a>) qui nous aide aujourd\u2019hui \u00e0 lutter efficacement contre les cybermenaces les plus complexes.<\/p>\n

Enfin, j\u2019aimerai vous inviter \u00e0 assister au webinaire du 17 juin<\/a> pour que vous puissiez voir une d\u00e9monstration en ligne du produit, \u00e9couter directement les explications des d\u00e9veloppeurs et poser toutes vos questions en temps r\u00e9el.<\/p>\n

C\u2019est tout pour aujourd\u2019hui pour ce qui est de la pr\u00e9sentation de notre nouvelle solution. Vous pouvez obtenir plus de renseignements en consultant la page du produit<\/a>, la fiche produit<\/a> et son livre blanc<\/a>.<\/p>\n

PS\u00a0: Je vous conseille fortement de lire cet article<\/a> publi\u00e9 par Costin Raiu, un des fondateurs de ce produit, o\u00f9 il donne des d\u00e9tails sur son histoire et son processus de d\u00e9veloppement, mais explique \u00e9galement certaines subtilit\u00e9s de Kaspersky Threat Attribution Engine en g\u00e9n\u00e9ral.<\/p>\n","protected":false},"excerpt":{"rendered":"

Nous avons lanc\u00e9 une nouvelle solution qui permet aux entreprises d\u2019analyser les ressemblances entre les codes et d\u2019obtenir des preuves techniques lorsqu\u2019elles recherchent le responsable d\u2019une APT.<\/p>\n","protected":false},"author":13,"featured_media":15120,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[498,3936,3872],"class_list":{"0":"post-15103","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-attribution","11":"tag-solutions"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-threat-attribution-engine\/15103\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-threat-attribution-engine\/21437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/16901\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/22540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-threat-attribution-engine\/20688\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-threat-attribution-engine\/23005\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kaspersky-threat-attribution-engine\/22093\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-threat-attribution-engine\/28574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/35852\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kaspersky-threat-attribution-engine\/13569\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-threat-attribution-engine\/22475\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-threat-attribution-engine\/27719\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-threat-attribution-engine\/27561\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15103","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15103"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15103\/revisions"}],"predecessor-version":[{"id":15124,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15103\/revisions\/15124"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15120"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15103"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15103"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15103"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}